HOWTO: 使用 Intune 为 Windows 启用本地管理员
HOWTO: 使用 Intune 为 Windows 启用本地管理员
前面 gOxiA 与大家分享了“HOWTO: 启用本地 Windows Autopilot 重置设备”,文中提到要使用该功能必须要启用本地管理员。对基于 Intune 管理的 Windows PC 来说实施起来并不复杂,今天我们就快速熟悉这一操作流程。
在 Intune 管理中心 转至 设备-配置-策略,新建策略,平台为 Windows 10 和更高版本,配置文件类型为 设置目录。
在 设置选取器 中找到 本地策略安全选项,然后勾选“账户 - 启用 Administrator 账户状态”。
该策略对应的 CSP 为 Accounts_EnableAdministratorAccountStatus,详细信息如下:
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_EnableAdministratorAccountStatus
格式:Int
值:1 启用;0 禁用(默认)
需要注意:如果在禁用管理员帐户后尝试重新启用管理员帐户,并且当前管理员密码不符合密码要求,则无法重新启用该帐户。
最后分配该策略,例如:所有设备,完成这些操作即完成配置。出于安全性考虑,我们也可以同时勾选“账户 - 重命名 Administrator 账户”,以降低穷举类的攻击。该策略对应的 CSP 为 Accounts_RenameAdministratorAccount,详细信息如下:
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_RenameAdministratorAccount
格式:chr
虽然很轻松的完成了启用本地管理员的配置,但本地管理员的密码管理问题不容忽视。在过去我们需要编写一个脚本来配置本地管理员(Administrator)的密码,但无法实现动态维护,且存在一些安全隐患。现在,Microsoft Entra(AAD)内置了 LAPS(Windows Local Administrator Password Solution)的支持,可以很轻松的实现本地管理员密码轮换和管理,针对 LAPS 的启用会另起一篇日志与大家分享。
HOWTO: 启用本地 Windows Autopilot 重置设备
HOWTO: 启用本地 Windows Autopilot 重置设备
Windows Autopilot Reset 是一种快速将设备恢复为就绪状态的部署方案,可以删除个人文件、应用以及设置;保留 Wi-Fi 连接以及用户的生物识别信息;确保设备在发起 Autopilot Reset 后在 OOBE 阶段重新自动执行 Autopilot 部署。Autopilot Reset 支持远程和本地发起重置,前者为模式配置,后者已需要另行下发设备配置文件。
下图为远程发起重置的方法,可通过 Intune 设备管理中找到对应的设备,然后进行 Autopilot 重置。
如果基于本地发起重置,可在登录界面按下“Ctrl+Win+R”热键,下面将介绍如何启用本地 Windows Autpilot 重置(需要单独配置的主要原因是避免意外触发 Autopilot Reset)。
首先,创建设备配置文件,平台选择“Windows 10 或更高版本”,配置文件类型选择“设备限制”。
在设备限制策略中找到并启用 Autopilot 重置。在微软官方文档中提到也可以使用预配包(PPKG)中的“DisableAutomaticReDeploymentCredentials”,将其设置为“No”。
如果你习惯使用 CSP,没问题。
./Device/Vendor/MSFT/Policy/Config/CredentialProviders/DisableAutomaticReDeploymentCredentials
格式:Int
值:0(启用Autopilot重置凭据的可见性);1(Default,禁用)
友情提示:
1. 首次登录时生物识别因为还未与账号PIN关联所以暂时不可用,需要重新设置PIN码即可。但设备之后重启会提示是否继续使用人脸或指纹登录,根据需要进行选择。
2. 本地发起的 Autopilot Reset 还需要确保本地管理员账号为启用状态,否则 CTRL+WIN+R 将无效。下一篇日志将会与大家分享通过 Intune 启用本地管理员账号的方法。
HOWTO: 为Autopilot设备取消分配用户
HOWTO: 为Autopilot设备取消用户分配
在开始前,我们先了解一下为什么会将Autopilot设备分配给用户?!在设备注册到Autopilot后,默认情况下处于共享设备模式,即有权限的用户可以在 OOBE 阶段输入账号密码来准备设备(即:注册依据)。但如果 IT 管理员 在 Autopilot 设备管理中将其分配给用户,则在 OOBE 阶段的用户登录页面上会预先填充账号名称,我们仅输入密码进行验证即可,并且还会自动应用分配给用户的策略和应用程序,对于用户而言,以及已经在实施 Autopilot for pre-provisioning deployment 的组织,都将获得更好的体验。
要将 Autopilot 设备分配给用户,可以通过 Intune 管理中心,进入“设备 - 注册设备 - Windows Autopilot 设备”,找到需要分配用户的设备,然后点击“分配用户”,跟随向导完成即可。注意:仅能将设备分配一个账号。
如果需要在 Autopilot 注册设备时就标记分配用户信息,可以在 CSV 文件中添加“Assigned User”列。
OK,从以上步骤中可以看出过程中的 UI 和操作逻辑还是比较清晰易用的。但是……如果我们现在需要取消分配用户呢?!你会发现很难找到这个选项。最后 gOxiA 没辙只能祭出“Microsoft Graph”。
首先,我们先获取到 Autopilot 设备的 ID,可以使用“windowsAutopilotDeviceIdentities”,所需权限“DeviceManagementServiceConfig.Read.All”。即:“GET https://graph.microsoft.com/v1.0/deviceManagement/windowsAutopilotDeviceIdentities”,如果成功将会获得如下的视图和内容,将 ID 信息记录下来。
之后,就可以使用“unassignUserFromDevice”进行取消分配用户的操作,所需权限“DeviceManagementServiceConfig.ReadWrite.All”。即“POST https://graph.microsoft.com/v1.0/deviceManagement/windowsAutopilotDeviceIdentities/{windowsAutopilotDeviceIdentity-id}/microsoft.graph.unassignUserFromDevice”,其中{}替换为前面获取到的 ID。如果成功将返回 OK - 200 响应。
搞定之后久久不能平静,总觉得在 UI 下应该会提供选项才对啊,开个 Case 才了解到原来“取消分配用户”的选项位于 Autopilot 设备列表中每个设备的最右边“…”中,OMG!!!
